37.5. Отображение глобальных групп на локальные
При вводе машины в домен создаются следующие локальные роли:
роль пользователей (users);
роль пользователей с расширенными правами (powerusers);
роль локальных администраторов (localadmins).
Локальные роли users и localadmins назначаются для глобальных групп в домене.
Список назначенных ролей и привилегий:
# rolelst
domain users:users
domain admins:localadmins
localadmins:wheel,vboxadd,vboxusers
powerusers:remote,vboxadd,vboxusers
users:cdwriter,cdrom,audio,video,proc,radio,camera,floppy,xgrp,scanner,uucp,vboxusers,fuse,vboxadd
vboxadd:vboxsf
# id ivanov
uid=906201103(ivanov) gid=906200513(domain users) группы=906200513(domain users),906201107(sales),
906201114(office),100(users),80(cdwriter),22(cdrom),81(audio),475(video),19(proc),
83(radio),444(camera),71(floppy),498(xgrp),499(scanner),14(uucp),462(vboxusers),464(fuse),488(vboxadd),487(vboxsf)
Если необходимо выдать права администраторов пользователям, которые не являются администраторами домена (Domain Admins), то нужно на контроллере домена завести новую группу в AD (например, PC Admins):
# roleadd 'PC Admins' localadmins
Added group PC Admins
Добавить туда необходимых пользователей (например, пользователя ivanov):
# samba-tool group addmembers 'PC Admins' ivanov
Added members to group PC Admins
Затем на машине, введённой в домен, добавить роль для данной группы:
# roleadd 'PC Admins' localadmins
# rolelst
domain users:users
domain admins:localadmins
pc admins:localadmins
localadmins:wheel,vboxadd,vboxusers
powerusers:remote,vboxadd,vboxusers
users:cdwriter,cdrom,audio,video,proc,radio,camera,floppy,xgrp,scanner,uucp,vboxusers,fuse,vboxadd
vboxadd:vboxsf
После этого пользователь, входящий в группу PC Admins, сможет
получать права администратора.
